IPSec Instabil durch WebUI

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
joser19330
Beiträge: 45
Registriert: Do 26.03.2020, 15:08

IPSec Instabil durch WebUI

Beitrag von joser19330 »

Hallo,

wir haben ein komisches Problem. Erledigt man arbeiten (was genau davon es triggert ist unklar, da es nicht sofort passiert) im Webinterface wie Nutzer/Zertifikat/SSL-VPN Verbindung anlegen, dann stellt kurz darauf der IPSec VPN den Dienst ein.
Im log ist nichts ungewöhnliches und unter IPSec wird weiterhin alles grün angezeigt aber es geht kein Traffic mehr durch. Zum laufen bekomme ich es erst wieder, wenn man auf Neustarten klickt.
Macht man nichts, dann läuft der VPN ewig. Version der UTM ist 12.2.2.3, vorher ist das so nicht aufgefallen.

Hat das auch jemand beobachtet?

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Bis zur 12.2.2.4 hatte ich das gleiche Verhalten bei einigen Kunden. Allerdings brauchten wir noch nicht mal auf den Geräten "arbeiten". Es kam der Anruf "VPN" geht nicht und beim aufschalten haben wir dann festgestellt das diese noch "grün" angezeigt wurde. Erst nach Neustart konnte dann auch wieder Traffic über die VPN laufen. Nun haben wir die 12.2.2.5 aufgespielt und die IPSec VPN Verbindung bricht immer noch sporadisch ab, nun sind die "Lampen" aber aus. Supportticket ist eröffnet, bin gespannt. Ich hoffe man kann in den Logs erkennen woran es genau liegt.

EDIT
Support war aufgeschaltet: In den Logs konnte man erkennen das die VPN in den letzten Tagen/Wochen extrem häufig abgebrochen und neu aufgebaut wurde. Da die Konfiguration aber soweit in Ordnung schien hat man uns geraten auf SSL VPN umzustellen. Spannend fand ich, das man wohl SSL VPN zusätzlich zur IPSec aufbauen kann und beide tunnel parallel bestehen können. Das man bei SSL VPN mit Transfernetz arbeitet ist mir schon klar, nur das die UTM dann den IPSec Tunnel priorisiert und wenn dieser down ist den SSL Tunnel nutzt, fand ich doch sehr interessant.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Im Normalfall sollte es so aussehen:

1. Wenn IPSEC aktiv, greift das SA
2. Rule Routen
3. Interface-Routen
4. Quellrouten
5. Zielrouten
6. Default Route

Und je kleiner die in der spezifischen Route verwendeten Subnetze, umso hochwertiger wird die Route innerhalb ihrer Klasse

Das muesste die Abfolge sein. Deswegen greift IPSEC zuerst, wenn die Verbindung steht.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

joser19330
Beiträge: 45
Registriert: Do 26.03.2020, 15:08

Beitrag von joser19330 »

Ich hab mal unser Log überprüft und die Probleme gibt es seit dem 16.12.2021 (3-4x pro Tag).
Am 08.12.2021 war Produktiv Release der 12.2.x (vorher gabs die 12.1.x). Mit der 12.2 kam die Umstellung auf "strongswan 5.8.4 swanctl".
Das Verhalten der 12.2.2.5 muss ich mal beobachten, wenn es nun auch bei uns Rot wird lässt sich vielleicht so ein Grund finden. Danke für den Hinweis.

Benutzeravatar
KuehleisIT
Beiträge: 86
Registriert: Mi 21.03.2007, 22:47
Wohnort: Weißenburg i. Bay.
Kontaktdaten:

Beitrag von KuehleisIT »

Das mit der Version ab 12.2.x die IPSec-Tunnel instabil sind und/oder sich nicht mehr aufbauen lassen, beobachte ich hier bei etlichen Kunden. Bisher war gerade der IPSec-Teil stabil und unproblematisch.
Bisher hat mich der Support mit allerlei Dingen beschäftigt, von Konfig neuanlegen über Zwangstrennung bis zu Modem austauschen oder Modem-Firmware aktualisieren etc. - geholfen hat hier bisher nix.
So langsam verstehe ich auch, warum, wenn es sich schon von Partnerseite auf solche Umstellungen eingrenzen lässt.

Da bei mir auch recht unternehmenskritische Tunnelverbindungen dabei sind, fällt mir das ganz gerade negativ auf meine Füße zurück.
Eine transparente Kommunikation seitens Securepoint wäre nicht nur wünschenswert sondern auch professionell. Die Updates hätte ich mir dann schenken können und wäre bei der 12.1 (oder besser bei Version 11) geblieben.

MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

Beitrag von MarcusM »

Tatsächlich kann ich mittlerweile bestätigen das die SSL VPN als Backup-Tunnel einwandfrei funktioniert. Alle zukünftigen VPN Tunnel zwischen Securepoint UTMs werde ich ebenfalls mit SSL VPN umsetzen. 
Wir haben bei manchen Kunden aber auch noch andere Firewalls im Einsatz sodass manchmal nur IPSec eingesetzt werden kann. Tatsächlich laufen diese IPSec Tunnel stabil. Auf der von mir hier erwähnten Kunden UTM hatten wir bisher 3 IPSec Verbindungen laufen, wobei eine keine Securepoint Gegenstelle ist. Die Tunnelausfälle betrafen nur die Securepoint zu Securepoint Tunnel und da werde ich zukünftig auf SSL VPN umstellen.

Bei einem anderen Kunden haben wir mit dem IPSec Tunnel (SP zu SP) schon seit mehreren Jahren Probleme, dieser fällt sporadisch alle paar Monate über Nacht aus. Hier werde ich im nächsten Wartungsfenster ebenfalls auf SSL VPN umstellen.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ich habe bei verschiedenen Kunden gelegentlich (vielleicht einmal im Monat) das Phänomen, dass einzelne IPSec-VPNs nicht mehr funktionieren, obwohl sie in der Übersicht und in der IPSec-Verwaltung "grün" angezeigt werden. Bisher hat Neustart des IPSec-Dienstes immer geholfen. Betroffen sind auch sehr gut per DCIP (Telekom)  angebundene Standorte. Ist die (in IKEv2 sogar immanente) DPD nicht genau für solche Probleme gedacht?

IPSec scheint bei Securepoint ein ungeliebtes Kind zu sein, wenn lapidar empfohlen wird, OpenVPN statt IPSec zu verwenden. Im Einzelfall mag das jedoch eventuell die pragmatischste Lösung, denn meist fallen solche Fehler besonders gern in unternehmenskritischen Bereichen auf. Da ist es dem Kunden kaum zuzumuten, länger auf den Rückruf des Supports innerhalb der Bürozeiten zu warten.

Vondreien
Beiträge: 4
Registriert: Mo 19.10.2020, 15:57

Beitrag von Vondreien »

Hat jemand schon Erfahrung damit, WireGuard als IPSec Backup zu verwenden? Oder IPSec damit zu ersetzen?

Wenn beide Tunnel gleichzeitig aufgebaut sind lässt sich WireGuard S2S leider nicht testen, da die Datenpakete dann durch den Default Drop verworfen werden, obwohl explizite Portfilterregeln nur für WireGuard angelegt wurden.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ich habe in der letzten Zeit häufiger das Problem, dass einzelne IPSec-Verbindungen (IKEv1) keinen Netzwerkverkehr mehr durchlassen, obwohl sie in der Übersicht als aufgebaut (grün) angezeigt werden. Nach einem Neustart des IPSec-Dienstes auf der Initiator-Seite funktionieren die Verbindungen wieder. Von dem Problem sind bisher nur die Filialen mit Securepoint UTM betroffen.

Auf den Betroffenen Geräten in den Filialen und in der Zentrale läuft die aktuelle v12.2.2.6. Auf Empfehlung des Supports wurde bereits das „Rekeying“ in Phase 1 von „unbegrenzt (empfohlen)“ auf „3 mal“ umgestellt. Leider stehe ich bei einem solchen Ausfall meistens unter Zeitdruck, so dass ich zu dem Zeitpunkt bisher keine weiteren Analysen betreiben konnte.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Gestern hatte ich die UTM in der Zentrale (Responder) neu gestartet, woraufhin alle Filialen (Initiator) mit UTM den Tunnel nicht neu aufgebaut haben. Von dem Problem sind IKEv1- und IKEv2-Verbindungen betroffen. Die Filialen mit Geräten von Drittherstellen haben die Verbindungen sofort wieder aufgebaut.

Die Sache ist reproduzierbar und z.Zt. mit dem Support in Klärung.

Antworten